BlackBerry 10 подвержена атаке "человек посередине"


BlackBerryСпециалисты по безопасности выявили в сервисе BlackBerry World уязвимость, которая позволяет злоумышленникам внедрять вредоносные программы в устройства пользователей посредством спуфинг-атак.

Обнаруженная брешь затрагивает владельцев смартфонов на базе BlackBerry 10, использующих виджет BlackBerry World для поиска и загрузки приложений. Специалисты компании BlackBerry утверждают, что уязвимость находится в механизме сервиса загрузки и позволяет злоумышленникам совершать атаки "человек посередине".

В ходе проведения атаки вредоносная программа маскируется под настоящий сервис, который пользователь воспринимает, как легитимный. По этой причине он не может отличить поддельное приложение от оригинального, взятого из официального источника.

С этого же сервиса (поддельного) происходит установка вредоносного ПО, которое позволяет преступникам получить доступ к любым данным или настройкам приложения, разрешенных пользователем.

В тоже время в компании подчеркивают, что факторы риска клиентов BlackBerry ограничены необходимостью соединения с сетью злоумышленников и невозможностью форсирования эксплуатации уязвимости без участия пользователя. Кроме того, для успешной эксплуатации бреши, киберпреступнику необходимо перехватить запрос на загрузку или обновление приложения на сервисе BlackBerry World. Затем заменить ответ сервера вредоносным файлом, который должен быть установлен пользователем.

На сегодняшний день компанией BlackBerry уже произведен выпуск исправлений, который доступен в виде обновления ОС BlackBerry 10. К тому же, для уменьшения риска инфицирования мобильных устройств клиентов, использующих уязвимые версии операционной системы BlackBerry 10, для всех загрузок с сервиса BlackBerry World применяется шифрование.


Обновлено (17.10.2014 02:06)